Serveur d'impression

Défense des vulnérabilités de sécurité d'Active Directory – Serveur d’impression

Le 18 avril 2020 - 7 minutes de lecture

Vulnérabilités de sécurité dans Active Directory: le rôle des PAW dans une défense AD forte

Microsoft Active Directory (AD) fournit des services d'annuaire pour les organisations qui utilisent Windows Server. Basé sur le protocole LDAP (Lightweight Directory Access Protocol), AD fournit une gamme de fonctions d'annuaire, y compris la gestion de domaine centralisée et la gestion des identités et des accès (IAM). AD est plus ou moins la solution IAM standard dans les entreprises de toutes tailles. Il n'est donc pas surprenant qu'un outil largement adopté comme AD soit une cible attrayante pour les acteurs malveillants.

Pourquoi Active Directory est une cible si recherchée

AD attire de nombreuses attaques variées, étant donné la valeur des données auxquelles il donne accès ainsi que le potentiel d'abus qui provient de l'accès au système IAM d'une organisation. Si un attaquant veut usurper l'identité d'un utilisateur du système, quelle meilleure façon d'atteindre cet objectif qu'en pénétrant AD, en se faisant passer pour un administrateur AD et en prenant le contrôle d'un compte d'utilisateur? Encore plus dangereux, un attaquant pourrait se déguiser en administrateur de domaine et créer un nouvel utilisateur fictif. Les identifiants d'administration volés créent un risque majeur.

Un administrateur AD peut attribuer des privilèges d'accès. Par exemple, si un utilisateur dispose d'un accès en lecture seule à une base de données, l'administrateur AD peut le promouvoir pour qu'il dispose des privilèges de lecture / écriture. Les pirates veulent de tels privilèges élevés, ils recherchent donc souvent AD.

Comprendre les vulnérabilités de Microsoft Active Directory

AD a deux ensembles principaux de vulnérabilités de cybersécurité: des vulnérabilités de sécurité génériques et des vulnérabilités de sécurité spécifiques. En termes génériques, AD est exposé à tous les types de risques de sécurité informatique standard. Il a besoin de mots de passe forts, doit être corrigé correctement et protégé par des pare-feu, etc. Plus précisément, la MA est vulnérable à la pénétration par son fonctionnement inhérent. Les capacités mêmes du serveur créent des risques.

Par exemple, si AD n'est pas correctement administré, sa liste interne d'administrateurs peut s'allonger trop longtemps pour être gérée en toute sécurité. Personne ne sait avec certitude qui est qui et quels privilèges ils méritent. Un ancien employé peut conserver des droits d'accès bien après qu'il ne devrait plus les posséder. Cela peut entraîner un abus d'accès privilégié – en supposant que l'organisation ne dispose pas d'une solution de gestion des accès privilégiés (PAM). Cependant, de nombreuses solutions PAM basent l’identité de leurs utilisateurs sur les listes d’annuaires AD.

L'accès invité est encore un autre problème. Alternativement, si les administrateurs laissent trop de comptes inactifs opérationnels, cela laisse leurs informations d'identification et privilèges d'accès exposés au vol par des acteurs malveillants. Si les administrateurs AD ne gèrent pas ou ne vérifient pas les journaux d'accès, ils peuvent avoir des difficultés à détecter les connexions suspectes. Il est important de garder à l'esprit qu'un acteur malveillant peut également être un initié. La gestion de l'AD pour la sécurité doit également inclure la surveillance de l'accès par les utilisateurs établis.

Meilleures pratiques pour défendre Microsoft AD

Les professionnels de la sécurité ont développé les meilleures pratiques pour défendre Microsoft AD. Les points saillants comprennent:

  • Nommer un «super administrateur» pour AD – Ce statut ne doit être accordé qu'à un petit groupe d'employés hautement fiables, ou même à une seule personne. On s'attend à ce que le super administrateur AD reste au courant de la purge des anciens comptes et de la délégation des tâches de surveillance. En outre, le super administrateur doit savoir qui se trouve dans les groupes sensibles, par exemple administrateurs de domaine et de schéma. Ce sont les administrateurs dont les informations d'identification ont une grande valeur pour les pirates.
  • Le super administrateur doit gérer soigneusement toute «imbrication de groupe» dans AD. AD peut imbriquer des groupes dans une hiérarchie parent-enfant. Cette pratique transmet les privilèges d'accès du parent à l'enfant. Si ces groupes imbriqués ne sont pas surveillés, ils peuvent par inadvertance permettre aux utilisateurs d'acquérir des privilèges d'accès qu'ils ne devraient pas avoir.
  • Mettre en œuvre une politique de «moindre privilège» – Les utilisateurs doivent se voir attribuer les autorisations minimales absolues dont ils ont besoin pour leurs travaux. Encore une fois, le super administrateur est chargé de garder tout cela en toute sécurité.
  • Placez AD dans une zone sécurisée de réseau – AD ne doit pas être assis dans la zone principale du réseau d'entreprise. Compte tenu de sa valeur pour les pirates et des impacts négatifs potentiels importants pour l'organisation s'ils étaient compromis, AD devrait être placé sur un sous-réseau sécurisé ou une zone sécurisée.
  • Utiliser des postes de travail à accès privilégié (PAW): la fourniture d'un appareil dédié et distinct (par exemple un ordinateur portable Windows) aux administrateurs est une contre-mesure efficace pour atténuer le risque d'accès non autorisé d'administrateur à AD. Une PAW est un appareil renforcé, incapable de télécharger des fichiers, d'installer des logiciels, d'accéder à la messagerie électronique et au Web. Il est utilisé uniquement pour se connecter au sous-réseau sécurisé où se trouve AD. Avec son utilisation restreinte, le PAW est moins vulnérable aux logiciels malveillants basés sur le Web, aux attaques de phishing, etc.

Les PAW ont cependant un inconvénient. L'administrateur peut ne pas vouloir transporter un deuxième ordinateur portable lorsqu'il quitte le bureau. Il peut être tentant de se connecter à un VPN à l'aide d'une machine d'entreprise ordinaire, ce qui peut ouvrir des actifs privilégiés aux attaques. Si un acteur malveillant a compromis la machine de l'entreprise, il peut potentiellement accéder à AD.

Une alternative viable, telle qu'activée par Hysolate, consiste à déployer deux machines virtuelles (VM) complètement distinctes sur un appareil unique. L'une des machines virtuelles exécute un ordinateur d'entreprise général, avec des capacités de navigation Web complètes, etc. La deuxième machine virtuelle est complètement verrouillée pour appliquer la plus grande sécurité lors de l'accès à des ressources privilégiées. Fonctionnant sur des systèmes d'exploitation (OS) distincts, les machines ne se «voient» pas, même si elles sont sur le même matériel. Si un pirate informatique pénètre dans le système d'exploitation de l'entreprise, il est impossible de passer au système d'exploitation privilégié.

Vous voulez pérenniser votre atténuation d'attaque? Apprenez comment Hysolate fait postes de travail à accès privilégié une réalité sans restreindre l'expérience utilisateur. Commencez votre essai gratuit ici.

Le post Defending Active Directory Security Vulnerabilities est apparu en premier sur Hysolate.

*** Ceci est un blog syndiqué de Security Bloggers Network de Blog – Hysolate rédigé par Yan Aksenfeld. Lisez l'article d'origine sur: https://www.hysolate.com/blog/active-directory-security-vulnerabilities/

Commentaires

Laisser un commentaire

Votre commentaire sera révisé par les administrateurs si besoin.